Allez au contenu, Allez à la navigation



Proposition de résolution sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)

29 février 2012 : Protection des données personnelles ( rapport )

B. REPOUSSER LE CRITÈRE DU « PRINCIPAL ÉTABLISSEMENT » ET RETENIR LA COMPÉTENCE DE L'AUTORITÉ DE CONTRÔLE DU PAYS OÙ RÉSIDE LE PLAIGNANT

La proposition de règlement attribue la compétence pour instruire l'ensemble des plaintes dirigées contre un responsable de traitement à la seule autorité de contrôle du pays où un responsable de traitement a son principal établissement, où que réside le plaignant.

Votre commission considère qu'une telle disposition pose, comme la précédente, une question de principe.

En effet, ce dispositif aboutit paradoxalement, dans un texte dont l'objet principal est d'élever le niveau de protection des données personnelles, à traiter plus favorablement le responsable de traitement que le citoyen, puisque le premier bénéficie d'un interlocuteur unique, appliquant le droit du pays où l'entreprise a son principal établissement, alors que le second doit s'adresser à une autorité différente de celle dont il est le plus proche, et qui applique le droit dont il relève.

Il présente en outre de nombreux inconvénients pratiques : il imposerait, lorsqu'une question de protection des données est étroitement liée à une question relevant d'un autre champ du droit, comme celui de la famille ou du travail, à l'autorité de contrôle compétente d'interpréter des dispositions de droit étranger.

Il poserait aussi la question des moyens financiers et humains alloués à l'autorité de contrôle, afin qu'elle puisse prendre en charge un contentieux international qui pourrait être d'une ampleur bien supérieure à celle du contentieux relatif à ses propres ressortissants.

À titre d'illustration, le budget de l'autorité de contrôle irlandaise (Data protection commissioner), qui serait compétente au regard de la présente proposition de règlement européen pour instruire notamment toutes les réclamations des citoyens européens contre le réseau social « Facebook », était, en 2009, de 2,931 millions d'euros, pour un pays de 4,6 millions d'habitants31(*).

Enfin, le dispositif proposé créerait une asymétrie entre les recours administratifs auprès de l'autorité de contrôle et les recours juridictionnels contre les responsables de traitement : les premiers seraient portés devant les autorités ou les juridictions du pays étranger, les seconds devant les juridictions nationales de l'intéressé.

Les quelques aménagements prévus par le texte, pour améliorer la coordination entre les autorités de contrôle et permettre que le plaignant s'adresse à son autorité nationale aux fins de transmission de sa plainte à l'autorité étrangère ne remédient pas à l'affaiblissement, par ce dispositif, du droit du citoyen européen à un recours effectif, exercé auprès de l'autorité qui lui est la plus accessible.

Votre commission juge nécessaire, pour l'ensemble de ces raisons, d'appeler la vigilance du Gouvernement sur cette question, afin qu'il défende l'abandon de ce critère d'attribution de compétence au profit de celui, déjà connu en droit de la consommation, de la compétence de l'autorité de l'État membre où réside le plaignant.


* 31À titre de comparaison le budget de la CNIL est de 17,3 millions d'euros pour un peu plus de 65 millions d'habitants.